Zaktualizuj Androida do czerwcowej łatki — poziom 2026-06-05, nie tylko 2026-06-01. Drugi pakiet zawiera poprawki komponentów zewnętrznych i kernela. Sprawdź: Ustawienia → Bezpieczeństwo → Aktualizacja zabezpieczeń. Dotyczy Androida 14, 15, 16 i 16 QPR2. Termin CISA dla agencji federalnych: 5 czerwca.
Jeśli masz Pixela — łatka jest już dostępna. Jeśli masz urządzenie innego producenta — sprawdzaj, bo właśnie tu jest problem.
1 czerwca Google opublikował czerwcowy biuletyn bezpieczeństwa Androida: 124 podatności, w tym jeden zero-day eksploatowany w ukierunkowanych atakach. Zero-day to CVE-2025-48595 — podatność typu integer overflow w Android Framework, pozwalająca lokalnemu atakującemu eskalować uprawnienia bez interakcji użytkownika. TheDropTimesGBHackers
Numer CVE z rokiem 2025 nie jest błędem — podatność została zarejestrowana wcześniej, a dopiero teraz potwierdzono jej aktywną eksploatację i wydano łatkę. CVSS 8.4, severity wysoka.
Ale najważniejsza w tej historii nie jest pojedyncza podatność. Jest to, że jest czwarta w serii — i co ta seria mówi o tym, kto za nią stoi.
Co robi CVE-2025-48595
Mechanizm jest podręcznikowym przykładem klasy błędu, która brzmi nudno, a jest groźna.
CVE-2025-48595 to integer overflow (CWE-190) w Android Framework — zestawie API i usług systemowych, z którymi aplikacje wchodzą w bezpośrednią interakcję. Integer overflow występuje, gdy operacja arytmetyczna produkuje wartość przekraczającą maksymalny rozmiar typu danych użytego do jej przechowania, powodując zawinięcie wartości lub nieoczekiwane zachowanie, które atakujący może wykorzystać do uzyskania podwyższonego dostępu. GBHackers
Konsekwencja jest poważna. Podatność umożliwia lokalnemu atakującemu z podstawowymi uprawnieniami aplikacji eskalację uprawnień i wykonanie kodu na wyższym poziomie uprawnień, potencjalnie zdobywając pełną kontrolę nad funkcjami urządzenia. GBHackers
Trzy cechy czynią to szczególnie niebezpiecznym. Atak nie wymaga żadnej interakcji użytkownika — żadnego phishingowego wabika, żadnego złośliwego linku, żadnej instalacji aplikacji. Błąd jest w wielu lokalizacjach w komponencie Framework. I dotyczy setek milionów urządzeń jednocześnie. Fyself NewsFyself News
Wektor jest lokalny, co w praktyce oznacza jeden najprawdopodobniejszy scenariusz dostarczenia. Wektor ataku będący lokalnym najprawdopodobniej oznacza, że eksploatacja przychodzi przez złośliwą lub strojanizowaną aplikację, którą celowany użytkownik został nakłoniony do zainstalowania. Aplikacja z podstawowymi uprawnieniami — niewzbudzająca podejrzeń — używa CVE-2025-48595, żeby przejść od „zwykła apka" do „pełna kontrola nad urządzeniem". Rankiteo Blog
Czwarty w sześć miesięcy — i to jest sygnał
Tu jest obserwacja, która jest ważniejsza niż sama podatność.
To jest czwarty Android zero-day załatany od grudnia 2025, wszystkie potwierdzone przez Google jako pod ograniczoną, ukierunkowaną eksploatacją. Cztery zero-daye w sześć miesięcy, każdy oznaczony tym samym sformułowaniem: „limited, targeted exploitation". Tech Times
To sformułowanie nie jest przypadkowe. AI Weekly wyciąga z niego wniosek, który jest sednem: cztery zero-daye w sześć miesięcy, każdy oznaczony jako ograniczona ukierunkowana eksploatacja, wskazują na wytrwałego i wyrafinowanego aktora systematycznie sondującego powierzchnię ataku Androida — a nie na oportunistyczne malware. Tech Times
Różnica jest fundamentalna. Oportunistyczne malware uderza szeroko i głośno — celuje w jak najwięcej urządzeń, bo liczy się skala. „Limited, targeted" oznacza coś przeciwnego: wąski zestaw celów, ostrożna eksploatacja, unikanie wykrycia. To jest profil operacji wywiadowczej lub komercyjnego dostawcy spyware — nie kampanii ransomware. Cztery takie podatności pod rząd, w tym samym komponencie Framework, oznaczają aktora, który ma zasoby, by systematycznie szukać i palić jeden zero-day za drugim.
Pisaliśmy przy PAN-OS CVE-2026-0257 wczoraj o oportunistycznym brokerze dostępu — tani hosting, spoofowany MAC, masowe skanowanie. To jest dokładne przeciwieństwo. Tutaj mamy aktora, który nie skanuje masowo, tylko celuje precyzyjnie — i pali drogie zero-daye, żeby to robić.
Problem, który nie jest w kodzie — jest w dystrybucji
Jest druga warstwa tej historii, która dotyka nie samej podatności, ale tego, jak Android jest łatany.
Ponieważ to jest problem w Framework, ekspozycja śledzi wersję systemu i adopcję łatek przez producenta, a nie pojedynczą aplikację. W praktyce dwa urządzenia na tej samej wersji Androida mogą znajdować się na różnych poziomach ryzyka w zależności od tego, czy ich producent i operator wysłali czerwcową łatkę 2026. Rankiteo Blog
To jest strukturalny problem Androida, który CVE-2025-48595 obnaża po raz kolejny. Powracający podział między natychmiastowymi aktualizacjami Pixela a opóźnieniem producentów OEM tworzy udokumentowane okno eksploatacji, które atakujący już wykorzystują — potwierdzone językiem własnego advisory Google. Tech Times
Google wydało dwa poziomy łatek — 2026-06-01 i 2026-06-05, przy czym drugi pakiet dodaje poprawki dla zamkniętoźródłowych komponentów zewnętrznych i kernela. Pixele dostają to od razu. Samsung, Xiaomi, OnePlus i reszta — po własnym cyklu testów, który może trwać tygodnie. Przez ten czas urządzenie na „tej samej wersji Androida" jest podatne, choć jego właściciel nie ma jak tego sprawdzić poza datą poziomu łatki w ustawieniach. Tech Times
The Cyber Express wyciąga z tego wniosek dla organizacji: monitoruj nietypowe zdarzenia eskalacji uprawnień w konsoli zarządzania urządzeniami mobilnymi. Czerwcowa aktualizacja Androida pokazuje, że zarządzanie łatkami mobilnymi jest teraz niezbędnym elementem higieny bezpieczeństwa przedsiębiorstwa, a nie opcjonalną czynnością konserwacyjną. GBHackers
Dla floty firmowej oznacza to konkret: CVE-2025-48595 niewymagający interakcji użytkownika oznacza, że firmowe floty Androida na niezałatanym sprzęcie OEM są po cichu wystawione na lokalną eskalację uprawnień bez żadnego behawioralnego sygnału ostrzegawczego do wykrycia. Nie ma kliknięcia do zauważenia, nie ma podejrzanej aktywności do złapania — jest tylko aplikacja, która cicho staje się rootem. Tech Times
Reszta biuletynu
CVE-2025-48595 jest tym, co eksploatowane — ale nie jest formalnie najcięższą podatnością w biuletynie. Osobno od aktywnie eksploatowanego zero-daya, najpoważniejszym wpisem biuletynu jest CVE-2025-65018, krytyczna podatność Framework, która mogłaby pozwolić zdalnemu atakującemu eskalować uprawnienia bez interakcji użytkownika i bez dodatkowych uprawnień wykonania. To jest podatność, do której Google odwołuje się w standardowej formule nagłówka biuletynu o „najpoważniejszym problemie". Rankiteo Blog
Skala całego wydania: 124 podatności łącznie na obu poziomach łatek, z 18 ocenionymi jako krytyczne. Sekcja Framework jako całość zawiera około 30 CVE, pokrywających eskalację uprawnień, ujawnienie informacji i scenariusze odmowy usługi. Rankiteo Blog
Co zrobić
Zaktualizuj do poziomu łatki 2026-06-05. Nie wystarczy 2026-06-01 — drugi poziom zawiera poprawki kernela i komponentów zewnętrznych, w tym Qualcomm.
Sprawdź datę poziomu łatki: Ustawienia → Informacje o telefonie → Wersja Androida → Poziom poprawki zabezpieczeń. Jeśli widzisz datę wcześniejszą niż 5 czerwca 2026 i twój producent jeszcze nie wydał aktualizacji — jesteś w oknie ekspozycji.
Dla flot firmowych: monitoruj konsolę MDM pod kątem zdarzeń eskalacji uprawnień, wymuszaj aktualizacje przez polityki, i traktuj urządzenia OEM bez czerwcowej łatki jako podwyższone ryzyko do czasu jej wdrożenia.
Ogranicz instalacje aplikacji do oficjalnych źródeł — skoro najprawdopodobniejszym wektorem jest strojanizowana aplikacja, sideloading jest tu konkretnym ryzykiem, nie teoretycznym.
Źródła
Google — czerwcowy biuletyn bezpieczeństwa Androida 2026: https://source.android.com/docs/security/bulletin/2026-06-01
BleepingComputer — potwierdzenie aktywnej eksploatacji i szczegóły dwóch poziomów łatek: https://www.bleepingcomputer.com/news/security/google-fixes-one-actively-exploited-android-zero-day-124-flaws/
SOCRadar — analiza fragmentacji OEM i kontekst CVE-2025-65018: https://socradar.io/blog/june-2026-android-security-cve-2025-48595/
AI Weekly — analiza serii czterech zero-dayów i profilu aktora: https://aiweekly.co/alerts/google-patches-android-zero-day-under-active-attack
Help Net Security — mechanizm integer overflow i wektor lokalny: https://www.helpnetsecurity.com/2026/06/02/android-vulnerability-exploited-cve-2025-48595/
The Cyber Express — rekomendacje dla zarządzania flotą mobilną: https://thecyberexpress.com/cve-2025-48595-android-june-2026/
Nie nowy atak, tylko naprawiony błąd. Co łatka Gemini CLI mówi o tym, że tryb –yolo w potoku CI/CD to nie jest dobry pomysł